E-commerce et RGPD : les 10 obligations essentielles du vendeur en ligne

Le commerce en ligne repose sur la collecte et le traitement massif de donnees personnelles : identite des clients, adresses de livraison, coordonnees bancaires, historiques d’achat, donnees de navigation, preferences de consommation. Chaque interaction d’un internaute avec un site e-commerce genere des donnees personnelles soumises au RGPD. Pour le vendeur en ligne, la conformite au RGPD n’est pas optionnelle : elle conditionne la legalite de son activite et protege contre des sanctions pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

Ce guide identifie les 10 obligations fondamentales du vendeur en ligne au regard du RGPD et fournit des recommandations pratiques de mise en conformite.

1. Etablir un registre des traitements

L’article 30 du RGPD impose a tout responsable de traitement de tenir un registre des activites de traitement. Pour un site e-commerce, ce registre doit recenser l’ensemble des traitements de donnees personnelles lies a l’activite : gestion des commandes, gestion des comptes clients, prospection commerciale (newsletters, emailings), gestion des cookies et du tracking, gestion des avis clients, analyse du comportement de navigation, gestion des reclamations et des retours et gestion des sous-traitants.

Chaque traitement doit etre decrit avec ses finalites, sa base legale (article 6 du RGPD), les categories de donnees traitees, les destinataires, les durees de conservation et les mesures de securite. L’audit RGPD permet d’etablir ce registre de maniere exhaustive.

2. Determiner les bases legales de chaque traitement

Le RGPD impose de fonder chaque traitement sur l’une des six bases legales prevues par l’article 6. En e-commerce, les bases legales les plus frequentes sont l’execution du contrat (article 6(1)(b)) pour le traitement des commandes, la livraison, la facturation et le service apres-vente, l’obligation legale (article 6(1)©) pour la conservation des factures (obligation comptable et fiscale) et la lutte contre la fraude, le consentement (article 6(1)(a)) pour la prospection commerciale par email, le depot de cookies non essentiels et la personnalisation de l’experience et l’interet legitime (article 6(1)(f)) pour la securite du site, la prevention de la fraude et les statistiques anonymisees.

Le choix de la base legale conditionne les droits des personnes. Par exemple, lorsque le consentement est la base legale, la personne dispose d’un droit de retrait du consentement a tout moment. Lorsque l’interet legitime est invoque, un test de mise en balance doit etre documente.

3. Informer les personnes concernees

Les articles 13 et 14 du RGPD imposent une obligation d’information complete des personnes dont les donnees sont collectees. Pour un site e-commerce, cette obligation se traduit par la redaction d’une politique de confidentialite accessible et comprehensible.

La politique de confidentialite doit indiquer l’identite et les coordonnees du responsable de traitement, les coordonnees du DPO le cas echeant, les finalites et les bases legales de chaque traitement, les categories de donnees collectees, les destinataires des donnees (y compris les sous-traitants), les transferts hors UE et leurs garanties, les durees de conservation pour chaque finalite, les droits des personnes et les modalites d’exercice et le droit de reclamation aupres de la CNIL.

Cette politique doit etre accessible depuis chaque page du site (lien en pied de page) et depuis les formulaires de collecte de donnees. Elle doit etre redigee en francais, dans un langage clair et simple. Les conditions generales de vente doivent renvoyer a cette politique.

4. Recueillir le consentement pour les cookies

La directive ePrivacy et les recommandations de la CNIL imposent un consentement prealable au depot de cookies non essentiels. Le bandeau cookies doit informer l’internaute de la finalite des cookies utilises, proposer un choix clair entre accepter et refuser, permettre un parametrage fin par categorie de cookies et ne deposer aucun cookie non essentiel avant le recueil du consentement.

La CNIL a precise que les “cookie walls” (conditionnement de l’acces au site a l’acceptation des cookies) ne sont acceptables que si une alternative raisonnable est proposee. Les boutons “Accepter” et “Refuser” doivent etre presentes de maniere equivalente (meme taille, meme visibilite).

Les plateformes e-commerce comme Shopify et WooCommerce proposent des extensions de gestion du consentement aux cookies, mais leur configuration par defaut n’est pas toujours conforme au droit francais.

5. Securiser les donnees personnelles

L’article 32 du RGPD impose la mise en oeuvre de mesures techniques et organisationnelles appropriees pour assurer la securite des donnees. Pour un site e-commerce, les mesures essentielles incluent le chiffrement HTTPS obligatoire sur l’ensemble du site, la securisation des paiements (conformite PCI-DSS), le hachage des mots de passe (bcrypt, Argon2), la mise a jour reguliere du CMS et des extensions, la protection contre les injections SQL et les failles XSS, la sauvegarde reguliere des donnees, la gestion des droits d’acces (principe du moindre privilege) et la journalisation des acces aux donnees sensibles.

En cas de violation de donnees, l’article 33 impose une notification a la CNIL dans les 72 heures et, si le risque pour les personnes est eleve, une notification aux personnes concernees (article 34).

6. Respecter le principe de minimisation

L’article 5(1)© du RGPD impose de ne collecter que les donnees strictement necessaires a la finalite poursuivie. En e-commerce, ce principe implique de ne pas rendre obligatoires des champs de formulaire non necessaires a la finalite (par exemple, la date de naissance pour une livraison), de ne pas collecter de donnees “au cas ou” pour des finalites non definies, de limiter les donnees de profilage au strict necessaire et de ne pas conserver les coordonnees bancaires apres le paiement (sauf consentement explicite pour le paiement en un clic).

Le formulaire de commande doit etre concu conformement au principe de minimisation. Chaque champ obligatoire doit etre justifie par la finalite du traitement.

7. Definir et respecter les durees de conservation

L’article 5(1)(e) du RGPD impose de conserver les donnees pendant une duree n’excedant pas celle necessaire aux finalites pour lesquelles elles sont traitees. Pour un site e-commerce, les durees de conservation types sont les suivantes : donnees relatives a une commande (5 ans a compter de la livraison pour les obligations comptables), coordonnees bancaires (suppression apres le paiement, sauf consentement pour le paiement en un clic : suppression a l’expiration de la carte), donnees de compte client (3 ans a compter du dernier contact actif, conformement a la recommandation CNIL), donnees de prospection (3 ans a compter du dernier contact actif), cookies (13 mois maximum conformement a la recommandation CNIL) et donnees de journalisation (6 mois pour les logs de connexion).

La purge des donnees a l’expiration de la duree de conservation doit etre automatisee. Un processus de revue periodique des durees doit etre mis en place.

8. Encadrer la sous-traitance

L’article 28 du RGPD impose d’encadrer contractuellement les relations avec les sous-traitants traitant des donnees personnelles pour le compte du vendeur. En e-commerce, les sous-traitants typiques incluent l’hebergeur du site, le prestataire de paiement, le transporteur, le prestataire d’emailing, le prestataire d’analytics et le fournisseur de solution de chat ou de chatbot.

Pour chaque sous-traitant, un contrat conforme a l’article 28 doit etre conclu, couvrant les obligations de securite, de confidentialite, de limitation des finalites, de sous-traitance ulterieure, d’assistance aux droits des personnes et de restitution ou suppression des donnees.

Les plateformes e-commerce SaaS (Shopify, etc.) sont elles-memes des sous-traitants dont les conditions contractuelles doivent etre examinees au regard de l’article 28. La conformite des clauses de sous-traitance IA est egalement a verifier si le site utilise des systemes d’IA.

9. Garantir l’exercice des droits des personnes

Les articles 15 a 22 du RGPD conferent aux personnes concernees des droits specifiques que le vendeur doit garantir : droit d’acces (article 15), droit de rectification (article 16), droit a l’effacement (article 17), droit a la limitation du traitement (article 18), droit a la portabilite (article 20) et droit d’opposition (article 21).

En pratique, le vendeur doit mettre en place un processus de reception et de traitement des demandes d’exercice des droits, un mecanisme de verification de l’identite du demandeur, un delai de reponse de 30 jours (prolongeable de 2 mois en cas de complexite) et une information claire des modalites d’exercice des droits dans la politique de confidentialite.

Le droit d’opposition a la prospection commerciale doit etre respecte de maniere absolue : tout email de prospection doit contenir un lien de desinscription fonctionnel.

Pour les sites utilisant des systemes d’IA pour des decisions automatisees, l’article 22 du RGPD impose des garanties supplementaires : droit a l’intervention humaine, droit d’exprimer son point de vue et droit de contester la decision.

10. Realiser une AIPD si necessaire

L’article 35 du RGPD impose la realisation d’une analyse d’impact relative a la protection des donnees (AIPD) lorsque le traitement est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes. En e-commerce, une AIPD est generalement necessaire en cas de profilage a grande echelle (analyse comportementale, personnalisation poussee, scoring client), de traitement de donnees sensibles (donnees de sante pour la parapharmacie, opinions religieuses pour les sites specialises), de surveillance systematique a grande echelle (tracking multi-sites, fingerprinting) et d’utilisation de systemes d’IA pour la prise de decision automatisee.

La CNIL a publie une liste des types de traitements pour lesquels une AIPD est requise, ainsi qu’un outil PIA facilitant la realisation de l’analyse.

Les sanctions en e-commerce

Les sanctions prononcees par la CNIL dans le secteur du e-commerce illustrent l’effectivite du regime sanctionnateur du RGPD. Des amendes significatives ont ete prononcees pour des defauts de securite (absence de chiffrement des mots de passe, conservation en clair des coordonnees bancaires), des defauts d’information (politique de confidentialite absente ou incomplete), des defauts de consentement aux cookies (depot de cookies avant recueil du consentement, absence de mecanisme de refus) et des defauts de gestion des droits (non-reponse aux demandes d’acces, non-effacement des donnees).

Les mentions legales incompletes, bien que relevant de la LCEN et non du RGPD, s’ajoutent aux risques de sanctions.

Le site du ministere de l’Economie fournit des fiches pratiques complementaires sur les obligations des vendeurs en ligne. Le texte du RGPD est consultable sur EUR-Lex. Le generateur de CGV doit integrer les clauses RGPD essentielles.

FAQ

Un site e-commerce doit-il nommer un DPO ?

La designation d’un delegue a la protection des donnees (DPO) est obligatoire dans trois cas : lorsque le traitement est effectue par une autorite publique, lorsque les activites de base du responsable de traitement consistent en des traitements qui exigent un suivi regulier et systematique des personnes a grande echelle, ou lorsque les activites de base consistent en un traitement a grande echelle de donnees sensibles. Pour un site e-commerce, la designation d’un DPO est obligatoire si le site realise un profilage a grande echelle de ses clients (par exemple, un site a fort trafic qui utilise des algorithmes de personnalisation sophistiques). Pour les sites de taille moyenne ne pratiquant pas de profilage a grande echelle, la designation d’un DPO n’est pas obligatoire mais reste une bonne pratique recommandee. Le DPO peut etre interne ou externe a l’organisation.

Les avis clients sont-ils soumis au RGPD ?

Oui. Les avis clients contiennent des donnees personnelles (nom ou pseudonyme de l’auteur, eventuellement sa photo, son email, son experience personnelle). Le traitement de ces donnees est soumis au RGPD. Le vendeur doit informer le client de la collecte et de la publication de son avis (finalite, base legale, duree de conservation). La base legale la plus appropriee est generalement le consentement (le client choisit de deposer un avis) ou l’interet legitime du vendeur (transparence commerciale). Le client doit pouvoir demander la suppression de son avis au titre du droit a l’effacement, sous reserve des obligations legales de conservation (la loi du 7 octobre 2016 impose la conservation des avis pendant une duree raisonnable). Si les avis sont geres par un tiers (Trustpilot, Avis Verifies, etc.), un contrat de sous-traitance conforme a l’article 28 doit etre conclu.

Les coordonnees bancaires peuvent-elles etre conservees pour faciliter les achats futurs ?

La conservation des coordonnees bancaires au-dela du paiement de la transaction n’est possible que sur la base du consentement libre, specifique, eclaire et univoque du client. Le consentement ne peut pas etre prealablement coche ou impose comme condition de la vente. Le client doit etre clairement informe de la finalite de la conservation (faciliter les achats futurs), de la duree de conservation (jusqu’a l’expiration de la carte ou le retrait du consentement) et de son droit de retirer son consentement a tout moment. La CNIL recommande que la conservation des coordonnees bancaires soit accompagnee de mesures de securite renforcees : chiffrement, tokenisation, authentification forte pour chaque utilisation. Le prestataire de paiement est generalement sous-traitant pour la conservation des coordonnees bancaires et son contrat doit etre conforme a l’article 28 du RGPD.